Noticia [ POSIBLE ACCESO NO AUTORIZADO ] HTCMania te recomienda cambiar tu password periodicamente

[jorge_kai]

Hola a todos,

Hace días nos notificaron que habían encontrado, en uno de esos portales "oscuros" de descargas ilegales, cierta información de la base de datos de HTCMania, en concreto la tabla de usuarios.

Tras reunirnos con el Grupo de Delitos Telemáticos de la Guardia Civil, comprobamos que, en efecto, esos datos se habían filtrado, pero que en ningún caso las passwords estaban comprometidas, puesto que estas se almacenan encriptadas en la base de datos. El cifrado que utiliza el software del foro es md5 con doble salt.

Lo siguiente que hicimos fue hablar con nuestro proveedor de servicios, para ver por dónde pudo haber venido el problema. Ellos han analizado los logs de acceso y han determinado que, en efecto, hubo acceso a sus servidores pero no a través del software del foro, ni por medio de ninguna vulnerabilidad de la web, sino a nivel de servidores, algo que depende del proveedor de servicios, Comvive. En este momento siguen estudiando el caso e intentado averiguar dónde ha podido estar el problema, así que no puedo deciros nada concluyente, aunque logicamente ya han tomado algunas medidas para que esto no se vuelva a repetir. También la Guardia Civil está al tanto del proceso de la investigación, ya que la colaboración es total por todas las partes. Por supuesto, si se llega a descubrir quién está detrás de esta filtración, será denunciado.

Dicho esto, y es algo que hemos comentado en más de una ocasión, es imprescindible que cambiéis vuestras passwords de manera periódica, así como que utilicéis passwords diferentes para las diferentes webs en las que estéis registrados. Como he comentado, las passwords del foro se almacenan de forma encriptada, pero siempre es mejor prevenir que curar. En la base de datos de usuarios no tenemos ningún otro dato sensible, más allá de un correo de registro. Lamentablemente, con la cantidad de hackeos que hay hoy en día en webs realmente grandes, nuestros correos seguramente estén en miles de sitios webs de manera ilegal. Algunos ejemplos:

• Wallapop sufre un hackeo y obliga a cambiar la contraseña: así puedes hacerlo
• El hackeo a Yahoo fue más grave de lo que pensábamos: 3.000 millones de cuentas robadas
• Hackeo a Decathlon: 123 millones de datos han sido filtrados
• Facebook sufre el primer gran hackeo de su historia y deja expuestas más de 50 millones de cuentas
• Se filtran los datos de usuarios de Adobe Photoshop, Premiere Pro e Illustrator; Creative Cloud hackeada, 7 millones de cuentas

Os iré contando los avances de la investigación a medida que los vayamos conociendo.

Si alguien necesita algún dato adicional, me puede consultar directamente por mensaje privado o en la dirección [email protected], y le proporcionaré toda la información que podamos tener, aunque como os he comentado, al ser una vulnerabilidad ajena a HTCMania, poca información técnica os podré proporcionar. Del mismo modo, si alguien quiere solicitar la baja en el foro, podéis hacerlo enviándome un mensaje privado, es la forma más sencilla. Podéis hacerlo rapidamente desde AQUI.

Gracias

¿Cómo cambiar la password del foro?

Muy fácil, sólo te llevará 1 minuto.

Accede a tu perfil, desde AQUI y simplemente introduce una nueva contraseña.




FAQ (actualizado a 6/03/2020)

• ¿Por qué no me habéis enviado un correo electrónico cuando habéis sabido el problema?: fundamentalmente por un motivo, y es que durante muchos años no se ha pedido un correo real para registrarse en la web. El registro era 100% libre (bastaba con un nick y una password). Esto es un foro sobre teléfonos, no una tienda, no vendemos nada, no necesitamos ningún dato real de ningún usuario. En todo caso, estamos evaluando la cantidad de correos que sí parecen reales (gmail, yahoo) para enviarlo lo antes posible. Por otro lado, puesto que la intrusión no ha venido por parte del software propio de la web, tenemos que ser prudentes con la información que damos, basicamente, porque la desconocemos y está en manos de otras personas. Si hay una investigación en curso, debemos ser precavidos. Lamentablemente no tenemos ningún dato de los usuarios más para contactar.

• ¿De qué forma habéis avisado entonces?: se ha añadido un anuncio grande en la parte superior de la web, en todas las páginas de la web, estéis o no logueados, donde aparece un mensaje pidiendo a los usuarios cambiar la password y leer este mismo hilo donde se explica lo sucedido. El hilo se publicó y se ancló en este subforo en cuanto tuvimos la certeza de lo que había pasado. También se ha publicado por redes sociales y en la app oficial de HTCMania.

• Cuando dices que las passwords están cifradas... ¿significa que es imposible de descifrar?: imposible no hay nada, es evidente. Seguramente, por medio de fuerza bruta se pueda conseguir alguna password. Por eso se pide siempre que vuestras passwords deben ser "fuertes", aquí y en cualquier otra web, de modo que un hacker con un diccionario y fuerza bruta no pueda descifrarla facilmente. En todo caso, si un hacker quisiera hacerse con todas las cuentas del foro, les bastaría con haber conseguido la mía (administrador) y es obvio que no ha sido así. Por cierto, el foro, como otras muchas webs, tiene un sistema que impide a una persona intentar el acceso a la web más de cinco veces seguidas si no tiene la password correcta.

• ¿Volverá a pasar?: nuevamente, decir que algo no puede volver a pasar es imposible. Los "hackers" van siempre un paso por delante de la gente que quiere hacer las cosas bien. Lo que sí nos consta es que el proveedor de servicios ha realizado los cambios necesarios para que esto mismo no vuelva a pasar. Eso no quiere decir que el día de mañana surja una vulnerabilidad diferente. Tal y como comenté más arriba, le ha pasado a facebook, wallapop o yahoo, con miles de personas trabajando en sus equipos de seguridad. Esto no es más que un foro de gente hablando sobre teléfonos móviles. Pero si de algo debe servir este tema es para que todos tengamos claro que las passwords deben ser siempre fuertes y que lo ideal es tener una password diferente en cada web/servicio que utilicéis. Con esa medida, el trabajo de los hackers será mucho más complicado.

ACTUALIZACION 6/04/2020: El sistema Firefox Monitor ha actualizado su base de datos con el problema que hubo en HTCMania en enero. No es una filtración nueva, se refiere a lo que hemos estado hablando aquí arriba. Aprovecho para comentaros que el proveedor sigue realizando mejoras en su sistema con el fin de evitar que este tipo de cosas puedan volver a suceder. Logicamente no os puedo dar detalles de estas actualizaciones, ya que podrían dar pistas a futuros delincuentes.


Cuidaos mucho.